Cómo proteger tu Android del fallo de seguridad StageFright

Conocer las amenazas de seguridad, como StageFright, para saber cómo protegerse.

Ningún sistema es 100% seguro frente a ataques malintencionados. Esta vez, los usuarios de Android son vulnerables ante un fallo de seguridad que se encuentra en las entrañas del sistema operativo y que fue descubierto hace algunas semanas por la compañía de seguridad móvil Zimperium. Este fallo, conocido como StageFright, permite que los atacantes malintencionados solo necesiten tu número de teléfono para tomar control de tu equipo.

A diferencia de otros ataques, donde se necesita que el usuario abra un archivo específico, esta vulnerabilidad no requiere de ninguna acción del usuario, y hace uso de una funcionalidad de Android que permite recibir archivos de video y tenerlos listos para cuando el usuario quiera reproducirlos. Estos ataques llegan por medio de MMS y pueden ser hechos sin que el usuario tenga que hacer algo. Por esta razón, los fabricantes han comenzado a establecer ciertos procesos de actualización periódica a sus equipos, pero antes de que llegue esta a tu dispositivo, puedes tomar algunas acciones para protegerte ante estas amenazas.

¿Cómo proteger tu Android del fallo de seguridad StageFright?

Conocer las amenazas de seguridad, como StageFright, para saber cómo protegerse.
Conocer las amenazas de seguridad, como StageFright, para saber cómo protegerse.

Lo primero que debes hacer es revisar las actualizaciones de tu equipo, pues es probable que en los próximos días -o semanas- recibas una actualización por parte de tu fabricante. Adicionalmente, ten cuidado a la hora de descargar contenido multimedia de tu correo o aplicaciones de mensajería, en especial cuando no conoces al remitente.

Puedes verificar si tu equipo es vulnerable al fallo StageFright por medio de la aplicación StageFright detector, desarrollada por Zimperium. Es muy probable que el resultado sea que efectivamente tu equipo es vulnerable, pues el fallo se puede presentar en equipos con Android 2.2 en adelante. Así que no te debes alarmar y por el contrario ser consciente del cuidado que hay que tener.

Para evitar recibir MMS que puedan poner en riesgo la seguridad de los datos de tu equipo, debes desactivar la ‘recuperación automática de MMS’ en la configuración de tu aplicación de mensajes de texto. En el caso de que tu aplicación por defecto sea Google Hangouts, debes hacerlo a través de la configuración de esta aplicación.

Desactiva la recuperación automática de MMS y video en tus aplicaciones

Adicionalmente, te recomendamos desactivar la descarga automática de video en WhatsApp para Android. Para hacerlo, debes ir a ‘Ajustes’, ‘Ajustes de chat’, ‘Descarga automática’ y desactivar video en todos los casos (conectado a datos móviles, conectado a Wi-Fi y en itinerancia de datos).

Con estos pasos, podrás estar un poco más a salvo mientras tu fabricante y operador permiten la llegada de las actualizaciones de seguridad a tu equipo.

Imagen: Zimperium.

Enrique Cuartas

Enrique Cuartas

Mi vida gira en torno a la búsqueda: buscas información, buscas música que te gusta, buscas nuevos destinos para conocer, buscas tomar la mejor foto. Administrador de Empresas, bailarín de tango en mi tiempo libre, viajero empedernido, me encantan los idiomas y la tecnología móvil. ENTER.CO es ahora mi plataforma de búsqueda. Escribí para Hipertextual en el extinto blog Celularis y he blogueado a nivel personal en los últimos años.

Ver todos los posts

30 comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  • «Ningún sistema es 100% seguro frente a ataques malintencionados»…apple es 1000% seguro!!! todos los que dicen que apple es inseguro no conocen la experiencia de usuario de apple!!!….(se nota que extraño a limoncito??)….y siempre he tenido una gran curiosidad, siempre que escucho estas vulnerabilidades (te cualquier sistema operativo aclaro) me pregunto dos cosas…
    1. alguno de ustedes ha sufrido un ataque de esos??? el de perder el control del movil
    2. como se ve eso que uno tenga un movil sin poderlo controlar???

    • Es que cuando dicen «tomar control» no es que el atacante te va a bloquear el dispositivo y no lo vas a poder usar, a lo que se refieren es que el atacante tendra acceso completo al sistema y que el usuario no podra evitarlo o no se dara cuenta. Aunque el atacante teniendo el control completo puede bloquearte todo no lo hacen porque la idea es robar informacion o hacer otras cosas sin que te des cuenta como por ejemplo usarte como parte de una red zombie. Algunos piensan que «tomar control» sera como si el atacante se conectara como en TeamViewer o algo asi y que uno va viendo como accede a cada aplicacion(si fuera en PC imaginan que ven hasta como moverian el mouse)

      Puede que muchos sufrieran alguna vez un ataque pero como dije anteriormente la idea de los atacantes es pasar desapercividos normalmente por lo que los usuario jamas se dan cuenta.

      Cuando toman control del sistema lo que hacen es cambiar configuracion del equipo, instalar aplicaciones, robar datos, enviar mensajes etc todo eso por debajo sin que sea detectado o visible por parte del usuario.

  • «Ningún sistema es 100% seguro frente a ataques malintencionados»…apple es 1000% seguro!!! todos los que dicen que apple es inseguro no conocen la experiencia de usuario de apple!!!….(se nota que extraño a limoncito??)….y siempre he tenido una gran curiosidad, siempre que escucho estas vulnerabilidades (te cualquier sistema operativo aclaro) me pregunto dos cosas…
    1. alguno de ustedes ha sufrido un ataque de esos??? el de perder el control del movil
    2. como se ve eso que uno tenga un movil sin poderlo controlar???

    • Es que cuando dicen «tomar control» no es que el atacante te va a bloquear el dispositivo y no lo vas a poder usar, a lo que se refieren es que el atacante tendra acceso completo al sistema y que el usuario no podra evitarlo o no se dara cuenta. Aunque el atacante teniendo el control completo puede bloquearte todo no lo hacen porque la idea es robar informacion o hacer otras cosas sin que te des cuenta como por ejemplo usarte como parte de una red zombie. Algunos piensan que «tomar control» sera como si el atacante se conectara como en TeamViewer o algo asi y que uno va viendo como accede a cada aplicacion(si fuera en PC imaginan que ven hasta como moverian el mouse)

      Puede que muchos sufrieran alguna vez un ataque pero como dije anteriormente la idea de los atacantes es pasar desapercividos normalmente por lo que los usuario jamas se dan cuenta.

      Cuando toman control del sistema lo que hacen es cambiar configuracion del equipo, instalar aplicaciones, robar datos, enviar mensajes etc todo eso por debajo sin que sea detectado o visible por parte del usuario.

      Edito:
      En ocaciones cuando el atacante no quiere pasar desapersivido y quiere llamar la atencion lo pueden hacer y lo hacen con fuerza como por ejemplo los ultimos ataques que han sufrido usuarios de Windows en los que les han mandado correos suplantando a Microsoft para que actualicen a Win 10 y lo que hacen es instalar un programa que les cifra los documentos y luego les pide que pagen para recibir la clave para descifrarlos aunque en ese caso el usuario es el que hace la descarga del programa pero en ese caso si se da cuenta despues cuando le salen los mensajes y si se ve como un caso de toma de control por que el atacante controla la informacion del usuario.

  • me recuerda cuando en windows tanto el explorer como el outlook abrían los zips que llegaban como attachments automáticamente, sin preguntar al usuario. acá por lo menos sale el link y el usuario sabrá si le da click al link o no, pero creo que como en el caso anterior, la mejor herramienta es el sentido común y que si alguien no ha solicitado un mensaje y lellegan porque sí, pues no se abren, que es lo más obvio

  • me recuerda cuando en windows tanto el explorer como el outlook abrían los zips que llegaban como attachments automáticamente, sin preguntar al usuario. acá por lo menos sale el link y el usuario sabrá si le da click al link o no, pero creo que como en el caso anterior, la mejor herramienta es el sentido común y que si alguien no ha solicitado un mensaje y lellegan porque sí, pues no se abren, que es lo más obvio

  • tengo una inquietud, se la actualizacion la libera el fabricante pero que pasa cuando se depende del operador en este caso tengo claro y llevo como un año esperando actualizacion de sistema operativo para LG G2 y siempre responden que el tema esta en proceso entonces alguien sabe si estas actualizaciones deben ser habilitadas por el operador o llegan directas por el fabricante? gracias

    • Lo mejor es que te vayas olvidando del parche porque como usuario de Claro puedo asegurarte que nunca te va a llegar la actualización. A mi siempre me ha tocado instalar un firmware generico apenas compro un celular porque el que viene «personalizado» para Claro nunca es actualizado. A Claro nunca le interesa actualizar a sus usuarios. Mi hermano tiene un Moto G que ya tiene versión de Lollipop hace casi un año y aunque está disponible para la mayoria de paises, aquí no está disponible. El firmware generico permite tener el telefono original y siempre con la última versión. Por lo menos con Sony se puede hacer, supongo que con los demás fabricantes debe ser igual.

  • tengo una inquietud, se la actualizacion la libera el fabricante pero que pasa cuando se depende del operador en este caso tengo claro y llevo como un año esperando actualizacion de sistema operativo para LG G2 y siempre responden que el tema esta en proceso entonces alguien sabe si estas actualizaciones deben ser habilitadas por el operador o llegan directas por el fabricante? gracias

    • Lo mejor es que te vayas olvidando del parche porque como usuario de Claro puedo asegurarte que nunca te va a llegar la actualización. A mi siempre me ha tocado instalar un firmware generico apenas compro un celular porque el que viene «personalizado» para Claro nunca es actualizado. A Claro nunca le interesa actualizar a sus usuarios. Mi hermano tiene un Moto G que ya tiene versión de Lollipop hace casi un año y aunque está disponible para la mayoria de paises, aquí no está disponible. El firmware generico permite tener el telefono original y siempre con la última versión. Por lo menos con Sony se puede hacer, supongo que con los demás fabricantes debe ser igual.

Archivos